Quest Powershell for AD – Listando grupos (Membership) direta e indiretamente (Nested)
Olá pessoALL,
Primeiramente para quem estiver lendo este post um feliz natal e boas festas!
No dia a dia de um IT-Pro que trabalha com Directory Services, realizar a manutenção de objetos é algo completamente comum e a concessão de acesso baseado em grupos é algo completamente trivial ou pelo menos se presume que deveria ser.
Já não é a primeira vez que eu falo sobre grupos de domínio e estratégias para uma boa utilização, no entanto, tal como no artigo sobre Nested Groups, este tipo de abordagem trás alguns desafios e principalmente um problema que pode atuar como uma bomba relógio.
Está bomba relógio está ligada a um efeito chamado Token Bloat. Em resumo, Token Bloat é quando um objeto possui mais SIDs em seu Access Token ocupando mais espaço do que este campo pode suportar.
O resultado deste sintoma são problemas de acesso a recursos de rede, impossibilidade de se realizar o logon, etc. e eu classifico isto como uma bomba relógio, pois na maioria das vezes você não percebe este problema imediatamente já que é necessário efetuar logoff da sessão atual e logon para receber um novo Access Token do KDC.